融于管理体系中的内部控制——基本规范的实现路径李宇立2008.9融于管理机制的内部控制管理的内涵及其与内部控制的关系风险管理与内部控制内部控制与风险管理及管理体系之间的关系支持支持风险管理风险管理内部控制治理结构组织结构业务流程岗位业绩评价信息系统激励机制信息系统战略风险环境风险环境风险环境风险环境一、融于管理机制的内部控制要素内部控制主体内部控制客体内部控制目标内部控制方式(一)内部控制主体《企业内部控制基本规范》所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。“内部”的原则性标准内部控制主体的层次性具有层次性的内部控制主体(二)内部控制客体——“内部”的派生标准控制的客体包括财产(可扩展至资源?)★拥有所有权;信息★拥有控制权;交易(交易双方至少有一方属于“内部人”)★拥有使用权。(三)内部控制目标《企业内部控制基本规范》中,内部控制的目标是:合理保证企业经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略。(四)内部控制方式《基本规范》要求,企业建立与实施有效的内部控制,应当包括的要素:内部环境——实施内部控制的基础(包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等)风险评估——及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。控制活动——根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。信息与沟通——及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。内部监督——对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。融于管理体系中的内部控制手段组织控制组织治理组织结构岗位设置流程控制信息控制人事控制物理控制《基本规范》中的内部控制要素内部环境风险评估控制活动信息与沟通内部监督二、内部控制要素之:内部环境公司治理环境公司组织环境人事环境激励环境文化道德环境(一)公司治理环境负责内部控制的建立健全和有效实施负责组织领导内部控制日常运行结合内部审计监督,对内部控制有效性进行监督检查股东会董事会经理层监事会对董事会建立与实施内部控制进行监督职能部门执行线监督线负责审查内部控制,监督内部控制的有效实施和自我评价情况,协调内部控制审计审计委员会内审机构岗位人员监督岗位(一)公司治理环境(续)1.股东是内部控制的主体吗?股权的分布状态和股东参与决策的意愿及效果不同,公司中股东的作用有所不同。内部控制本身从根本上解决不了股权分布状态以及股东参与决策意愿和效果的问题,在这种情况下,如何有效发挥股东的作用,将主要由外部监管来促成其实现。虽然股权的分布状态是公司治理中的“既成事实”,但是,通过完善、高效的信息披露制度(包括对公司治理状况的披露),理性的股东(包括潜在的投资者,甚至是收购方)将会明智的选择进入或者退出,从而从一定程度上改观股权的分布状态,起到加强内部控制源头治理的作用。2.家族式治理模式优点:主要股东的意志能得到充分而直接的体现;缺点:经营所需资金受到限制,易受债务市场影响这种模式主要分布于东南亚国家、台湾和香港等地。3.内部人模式表现为银行、供应商、客户和职工都积极通过公司的董事会、监事会等参与公司治理事务,发挥监督作用。优点:在正常情况下,经营者的决策独立性很强,很少直接受股东的影响;缺点:经营者的决策不仅包括公司的一般问题,甚至还左右公司战略问题,当委托代理关系出现危机时,往往不利股东的利益。这种模式主要分布于日本和德国。4.外部治理模式这种模式表现为:在股份相当分散的情况下,公司的控制权一般掌握在经营者手中,此时,外部监控机制发挥着主要的监控作用。由于资本市场和经理市场相当发达,经理市场的隐性激励和以高收入为特征的显性激励对经营者的激励和约束作用比较明显。优点:由于受股票市场的压力很大,股东的意志能够得到较多的体现;缺点:经理层具有很大的独立决策权,往往对股东不利。这种模式主要分布于英美国家。(二)公司组织环境1.组织设置的原则权责对等统一指挥精干高效目标原则分工协作市场适应(二)公司组织环境(续)2.纵向组织设计管理层次管理幅度(亦称管理跨度)集权与分权3.横向组织设计按功能划分单位按产品划分单位按地区划分单位按顾客划分单位按项目划分单位按项目与按功能相结合(二)公司组织环境(续)4.公司组织环境中的内部控制关键因素不相容功能分离监督功能与决策及执行功能检查功能与执行功能业务功能与财务功能专门的监督机构内部审计质量检查业务流程作业程序和方法记录控制准则(三)人事环境岗位设置作业配置岗位关系岗位资源配置岗位任职资格(岗位人员选择)特别岗位人员特殊措施工作轮换强制休假特别担保责任保险(四)激励环境1.激励的基础优——————奖业绩评价劣——————惩2.激励的方法股权、股票期权、精神、物质“两手都要抓,两手都要硬”(五)文化道德环境软管理隐形控制制度真空的“填充物”三、内部控制要素之:风险评估风险管理“四部曲”目标设定目标达成风险评估风险防范机制三、内部控制要素之:风险评估(续)(一)风险识别(二)风险分析(一)风险识别1.识别内部风险应关注的因素★董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。★组织机构、经营方式、资产管理、业务流程等管理因素。★研究开发、技术投入、信息技术运用等自主创新因素。★财务状况、经营成果、现金流量等财务因素。★营运安全、员工健康、环境保护等安全环保因素。★其他有关内部风险因素。(一)风险识别(续)2.识别外部风险应关注的因素★经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。★法律法规、监管要求等法律因素。★安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。★技术进步、工艺改进等科学技术因素。★自然灾害、环境状况等自然环境因素。★其他有关外部风险因素。(二)风险分析评价风险的重要程度评估风险发生的概率考虑应当如何管理风险,即评估需要采取的措施。风险规避风险降低风险分担风险承受四、内部控制要素之:控制活动不相容职务的分离授权批准会计系统控制预算控制财产安全控制电子信息技术控制运营分析(风险评估抑或控制活动)绩效考评(一)不相容职务的分离授权监督执行记录保管(二)授权批准一般授权特别授权预警机制(三)会计系统控制会计一方面可以从流程控制的角度发挥控制作用,另一方面,可以从信息控制的角度来发挥控制作用。建立岗位责任制可靠的凭证控制完整的簿记控制严格的核对控制规范的账务处理流程适当的会计政策和程序(四)预算控制1.预算编制模式“自上而下”式的编制模式“自下而上”式的编制模式“自上而下”式和“自下而上”式的相互结合2.预算考核(五)财产安全控制限制接近限制接近现金限制接近其他易变现的资产限制接近存货限制接近档案资料定期盘点和比较保险(六)电子信息技术控制1.一般控制(1)数据中心运行控制(2)系统软件控制(3)访问安全控制(4)应用系统开发和维护控制2.应用控制“制度”与“技术”之间具有互补性五、内部控制要素之:信息与沟通会计信息系统统计信息系统沟通(内部沟通、外部沟通)常规的沟通渠道非常规的沟通渠道申诉、举报、网站、领导接待日六、内部控制要素之:监控基本规范指出,企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。六、内部控制要素之:监控(续)持续性监控(一般监控或日常监控)个别监控(专项监控)缺陷报告(CEO、CFO、审计委员会)七、内部控制的局限性与协调机制(一)内部控制的局限性人为简单差错无法适应经营环境、业务性质的变化串谋管理当局凌驾于内部控制之上成本效益比较(二)内部控制的协调机制内部控制与激励之间的协调内部控制与组织文化之间的协调内部控制与外部监管之间的协调内部控制与市场机制之间的协调八、内部控制中的博弈(一)公司与顾客之间的内部控制博弈现象eg.银行卡异地消费退货(二)公司与供应商之间的内部控制博弈现象eg.采购付款中请购单、合同、发票、验收单的统一九、内部控制的实施与优化(一)内部控制的实施态度——设计是令企业“有法可依”;实施则是“有法必依”不能因为有对某一内部控制措施的经济合理性的质疑,而赞成一件违反程序的事情。我们要分清楚规则内选择和对规则的选择的区别。当然,这并不是鼓励“将错就错”,而是强调纠错本身的程序合法性。这一点不仅适用于普通员工,更要求管理者“身体力行”。九、内部控制的实施与优化(续)(二)内部控制的优化财务指标+非财务指标内部控制优化的依据